Estudo e An ´ alise de Vulnerabilidades Web Wagner Aparecido Monteverde, Rodrigo Campiolo 1 Departamento Acadˆ emico de Computac ¸˜ ao Universidade Tecnol´ ogica Federal do Paran´ a (UTFPR) Campo Mour˜ ao - PR wagnermonteverde@outlook.com, rcampiolo@utfpr.edu.br Abstract. Web security is important to provide protection to clients and services in Web. Several Web vulnerabilities are exploited every day and the attacks have increased due to new tools and Web applications. In this work is carried out an analysis of Web vulnerabilities in different kinds of applications. A set of heterogeneous and brazilian Web sites was selected and analysed by open source tools. Consequently, the main forms of attacks used in Web applications have been investigated. Our results show how Web vulnerabilities can be exploited easily. So, it is verified that websites need to improve their security urgently. Resumo. A seguranc ¸a em aplicac ¸˜ oes Web ´ e importante para prover a protec ¸˜ ao aos clientes e servic ¸os na Web. In´ umeras vulnerabilidades Web s˜ ao exploradas a cada dia e os ataques tem se tornado mais frequentes devido a facilidade intro- duzida por ferramentas de explorac ¸˜ ao e pelo aumento de aplicac ¸˜ oes e o uso da Web. Neste trabalho ´ e realizado o estudo e a an´ alise de vulnerabilidades em di- ferentes tipos de aplicac ¸˜ oes Web. S˜ ao usadas ferramentas para identificac ¸˜ ao de vulnerabilidades em uma amostra de s´ ıtios Web heterogˆ eneos e brasileiros. Por consequˆ encia, foram investigadas as principais formas de ataques utilizadas em aplicac ¸˜ oes Web. Os resultados indicam a necessidade urgente de melhorias na seguranc ¸a, principalmente em s´ ıtios Web menores e regionais. 1. Introduc ¸˜ ao No in´ ıcio, a Web foi criada sem grandes preocupac ¸˜ oes com seguranc ¸a, tendo como ob- jetivo principal a disponibilizac ¸˜ ao de conte´ udos adequados aos recursos dispon´ ıveis na ´ epoca. Mas, a cada dia que passa a Web vem se consolidando como um dos principais meios de comunicac ¸˜ ao, de relacionamentos e de neg ´ ocios. De uma maneira crescente em- presas disponibilizam informac ¸˜ oes, produtos, servic ¸os e, ainda, realizam neg´ ocios cada vez mais importantes. Diante desses fatos tornou-se de extrema necessidade garantir a seguranc ¸a nas aplicac ¸˜ oes Web. Por se tratar de servic ¸os remotos, executado muitas vezes distribuidamente, conceitos fundamentais de seguranc ¸a como confidencialidade, integri- dade, disponibilidade e autenticidade devem estar presentes nos sistemas para diminuir os riscos de ataques devido ` a explorac ¸˜ ao de vulnerabilidades [Mello et al. 2006]. Vulnerabilidades s˜ ao condic ¸˜ oes que quando exploradas por pessoas mal intenci- onadas podem resultar em falhas de seguranc ¸a [Shirey 2000]. As vulnerabilidades Web s˜ ao o resultado de um conjunto de fatores que, em sua maioria, envolve todo processo de desenvolvimento, de manutenc ¸˜ ao e de uso das aplicac ¸˜ oes. Prazos curtos de entrega das aplicac ¸˜ oes aliados a processos falhos de desenvolvimento resultam em maior taxa de